0access

显示全部楼层 · 发表于 2012-6-15 22:50:24

275751198 发表于 2012-6-15 22:29
360第一个杀，第二个再说

金山边界防御，下载完就报毒，这年头，云玩的就是录入速度

做行为分析，还是得主防或HIPS

显示全部楼层 · 发表于 2012-6-16 01:17:16

本帖最后由 wjcharles 于 2012-6-16 01:18 编辑

绕过下载分析，NIS2012 云启发杀一个
另一个双击提示不是有效的win32程序。。。

完整路径: c:\users\sshss\downloads\animal-porn-movie\animal-porn-movie.exe
威胁: Suspicious.Cloud.5.A
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/6/16 ( 1:16:01 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: c:\users\sshss\downloads\animal-porn-movie\animal-porn-movie.exe
已删除
____________________________
文件指纹 - SHA:
36530e7a5270557ecd44c87619ab2eab0b6f3e066ac036cfb6c69e4e95dc8e2c
____________________________
文件指纹 - MD5:
8acdc270582f947cd3cec4f579c79c5c
____________________________

显示全部楼层 · 发表于 2012-6-16 04:56:55

ESET Smart Security
Threat detected

Details:
Web page: http://bbs.kafan.cn/forum.php?mo ... DI2NDk0MHwxMzA4Njgz
Threat:
Comment: Access to the web page was blocked by ESET Smart Security.
www.eset.com

ESET Smart Security
Threat detected

Details:
Web page: http://bbs.kafan.cn/forum.php?mo ... DI2NDk0MHwxMzA4Njgz
Threat: Win32/Sirefef.EV trojan
Comment: Access to the web page was blocked by ESET Smart Security.
www.eset.com

显示全部楼层 · 发表于 2012-6-16 07:32:47

缓存文件名称: C:\Program Files\Filseclab\Twister\upload\00000003.FUC

缓存文件大小: 40276
缓存文件状态: 已删除

MD5: 138d6ea205ff1bb5d6d8e8003722c269
级别评分: 0.0
动作: 在线扫描

状态: 它是一个“病毒”

缓存文件名称: C:\Program Files\Filseclab\Twister\upload\00000002.FUC

缓存文件大小: 179106
缓存文件状态: 已删除

MD5: 5f3f6b78f384f36b62b6ca693068b87d
级别评分: 0.0
动作: 在线扫描

状态: 它是一个“后门程序”

显示全部楼层 · 发表于 2012-6-16 07:43:33

2012-6-16 07:42:33 修改其他进程的内存阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\explorer.exe

2012-6-16 07:42:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1616] ->  [208.91.207.10 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1617] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1618] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1619] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1620] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 创建文件夹阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\{3b213280-608d-7588-3391-3aa200697477}
规则: [文件]*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1621] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1622] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1623] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1624] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1625] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:33 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1626] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:33 删除注册表值阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender
规则: [注册表组]Auto Starts -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2012-6-16 07:42:34 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1630] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:34 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:34 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1631] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:34 创建文件夹阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: C:\WINDOWS\Installer\{3b213280-608d-7588-3391-3aa200697477}
规则: [文件组]目录_windir -> [文件]c:\windows\*

2012-6-16 07:42:34 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: TCP [本机 : 1632] ->  [184.172.204.122 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:34 修改文件阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道_Namepipe -> [文件]\device\namedpipe\*

2012-6-16 07:42:34 访问网络阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: UDP [本机 : 1633] ->  [66.85.130.234 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-6-16 07:42:34 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\animal-porn-movie.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe"
规则: [应用程序组]U+_行为防御_降权组件

显示全部楼层 · 发表于 2012-6-16 13:37:33

左手发表于 2012-6-16 07:43
2012-6-16 07:42:33 修改其他进程的内存阻止
进程: c:\documents and settings\administrator\桌面 ...

俺实机运行，检查系统自带防火墙不能用，不知你情况如何？

显示全部楼层 · 发表于 2012-6-16 13:56:09

hddu 发表于 2012-6-16 13:37
俺实机运行，检查系统自带防火墙不能用，不知你情况如何？

我实机。关了防火墙的。
从来也没有开过

显示全部楼层 · 发表于 2012-6-16 14:04:02

火眼报告：
第一个：http://fireeye.ijinshan.com/anal ... 36b62b6ca693068b87d
第二个：（没有行为）

显示全部楼层 · 发表于 2012-6-16 14:04:53

左手发表于 2012-6-16 13:56
我实机。关了防火墙的。
从来也没有开过

启动系统自带防火墙试试。

显示全部楼层 · 发表于 2012-6-16 14:09:51

ZeroAccess ？！

[病毒样本] 0access